Sa ProFTPD ftp server mapanganib na kahinaan (), na nagpapahintulot sa iyo na kumopya ng mga file sa loob ng server nang walang pagpapatotoo gamit ang "site cpfr" at "site cpto" na mga utos. problema antas ng panganib 9.8 sa 10, dahil magagamit ito upang ayusin ang remote code execution habang nagbibigay ng hindi kilalang access sa FTP.
Kakayahang mangyari maling pagsusuri sa mga paghihigpit sa pag-access para sa pagbabasa at pagsulat ng data (Limit READ at Limitahan ang WRITE) sa mod_copy module, na ginagamit bilang default at pinagana sa mga proftpd na pakete para sa karamihan ng mga distribusyon. Kapansin-pansin na ang kahinaan ay bunga ng isang katulad na problema na hindi pa ganap na nalutas, noong 2015, kung saan natukoy na ngayon ang mga bagong attack vector. Bukod dito, ang problema ay iniulat sa mga developer noong Setyembre noong nakaraang taon, ngunit ang patch ay ilang araw lang ang nakalipas.
Lumilitaw din ang problema sa pinakabagong mga kasalukuyang release ng ProFTPd 1.3.6 at 1.3.5d. Ang pag-aayos ay magagamit bilang . Bilang isang solusyon sa seguridad, inirerekumenda na huwag paganahin ang mod_copy sa pagsasaayos. Ang kahinaan ay hanggang ngayon ay naayos lamang sa at nananatiling hindi naitama , , , , (Ang ProFTPD ay hindi ibinibigay sa pangunahing RHEL repository, at ang package mula sa EPEL-6 ay hindi apektado ng problema dahil hindi ito kasama ang mod_copy).
Pinagmulan: opennet.ru